中小型企业局域网组建与管理的实现

中小型企业局域网组建与管理的实现内容摘要：

AN 20，为 服务器组 coresw(config)interface vlan 10 coresw(configif)ip address coresw(config)interface vlan 11 coresw(configif)ip address coresw(config)interface vlan 12 coresw(configif)ip address coresw(config)interface vlan 13 coresw(configif)ip address coresw(config)interface vlan 20 coresw(configif)ip address 将 接入层 SW 上的端口根据需要划分至各个 VLAN ACL： 配置 ACL 应用在各个部门 VLAN 接口上，控制各部门互访 accesslist 10 permit accesslist 10 permit accesslist 10 deny accesslist 10 permit any 进入 vlan 10 ip accessgroup 10 out 把访问控制列表 10 应用于 VLAN 10 OUT 方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。 accesslist 11 permit accesslist 11 permit accesslist 11 permit accesslist 11 deny 云南工商学院 中小型企业局域网组建与管理的实现 第 8 页 共 39 页 accesslist 11 permit any 进入 vlan 11 ip accessgroup 11 out 把访问控制列表 11 应用在 VLAN 11 OUT 方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。 设计部 VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问 控制 列表 accesslist 110 在 in 的方向上，封掉常见病毒端口。 accesslist 110 deny tcp any any eq 1068 accesslist 110 deny tcp any any eq 2046 accesslist 110 deny udp any any eq 2046 accesslist 110 deny tcp any any eq 4444 accesslist 110 deny udp any any eq 4444 accesslist 110 deny tcp any any eq 1434 accesslist 110 deny udp any any eq 1434 accesslist 110 deny tcp any any eq 5554 accesslist 110 deny tcp any any eq 9996 accesslist 110 deny tcp any any eq 6881 accesslist 110 deny tcp any any eq 6882 accesslist 110 deny tcp any any eq 16881 accesslist 110 deny udp any any eq 5554 accesslist 110 deny udp any any eq 9996 accesslist 110 deny udp any any eq 6881 accesslist 110 deny udp any any eq 6882 accesslist 110 deny udp any any eq 16881 accesslist 110 permit ip any any 可以根据实际需要将此 ACL 应用于任一接口 ，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于 操作。 FTP 服务器： 用 IIS 架设（ Window Server 2020 操作系统）。 安装： Window Server 2020 默认安装时不安装 IIS 组件，需要手工添加安装。 进入控制面板，找到“添加／删除程序”，打开后选择“添加／删除 Window 组件”，在弹出的“ Window 组件向导”窗口中，将“ 应用程序服务器”选中点击“ Inter 信息服务（ IIS）”项选中 (如图 351)，勾上该选项前 ，再点击右下角的“详细信息”，在弹出的“ Inter 信息服务（ IIS）”窗口中，找到“文件传输协 议（ FTP）服务” (如图 352)，选中后确定即可。 云南工商学院 中小型企业局域网组建与管理的实现 第 9 页 共 39 页 图 351 如图 352 设置： 点击“开始→所有程序→管理工具→ Inter 信息服务”，进入“ Inter 信息服务”窗口后，找到“默认 FTP 站点”，右击鼠标，在弹出的右键菜单中选择“属性”。 在“属性”中，我们可以设置 FTP 服务器的名称、 IP、端口、访问账户、 FTP 目录位置、用户进入 FTP时接收到的消息等 （如图 353）。 云南工商学院 中小型企业局域网组建与管理的实现 第 10 页 共 39 页 如图 353 FTP 站点基本信息： 进入“ FTP 站点”选项卡，其中的“描述”选项为该 FTP 站点的名称，用来称呼你的服务器，这里设置名称为 “ FTP 服务器”；“ IP 地址”为服务器的 IP，设置为 ；“ TCP端口”一般仍设为默认的 21 端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接 （如图 354）。 图 354 设置账户及其权限： 很多 FTP 站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。 不同用户可使用相同的账户访 问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如 ： 有的可以上传和下载，而有的则只允许下载 （如图 355）。 云南工商学院 中小型企业局域网组建与管理的实现 第 11 页 共 39 页 图 355 安全设定： 进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接” （如图 356） ，此时 FTP 服务器提供匿名登录。 “仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是 Administrator（管理员）账号也不能登录， FTP 只能通过服务器进行“本地访问”来管理。 至于“ FTP 站点操作员”选项，是用来添 加或删除本 FTP 服务器具有一定权限的账户。 IIS 与其他专业的 FTP服务器软件不同，它基于 Window 用户账号进行账户管理，本身并不能随意设定 FTP 服务器允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置 Window 用户账号 （如图 357） ，然后再通过“安全账户”选项卡中的“ FTP 站点操作员”选项添加或删除。 图 356 云南工商学院 中小型企业局域网组建与管理的实现 第 12 页 共 39 页 图 357 设置用户登录目录： 最后设置 FTP 主目录（即用户登录 FTP 后的初始位置），进入“主目录”选项卡，在“本地 路径”中选择好 FTP 站点的根目录，并设置该目录的读取、写入、目录访问权限 （如图 358）。 设置完成后， FTP 服务器就算建成了。 图 358 云南工商学院 中小型企业局域网组建与管理的实现 第 13 页 共 39 页 第四章 网络布局和综合布线 公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。 网络布局主要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。 布线标准 网 络布线的通用标准采用美国的 ANSIA/EIA568— A标准。 EIA568—— A标准是“面向办公环境”的布线系统，其主要技术要求有发下几个方面： 结构化布线子系统、电信布线的最小要求、安装方法和实践经验、连接器和引线分配、电信布线系统的有效寿命（ 10）年以上、水平布线和主干布线的介质型与性能指标、连接硬件性能指标、推荐的拓扑结构和距离以及布线要素的定义；包括水平电缆、交叉连接、电信插座等。 EIA 568— A 标准规定，综合布线系统分为下 6 个子系统：建筑群子系统、主干（垂直）子系统、配线（水平）子系统、设备间子 系统、管理子系统和工作区子系统。 网络布局的原则 企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。 组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。 组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得 网络能正常运转。 便于维护与升级 网络的组网不是一成不变的，随着 IT 企业业务的不断发展的需求，原先组建的局域网就需 要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。 网络布局的具体实施要求 对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办云南工商学院 中小型企业局域网组建与管理的实现 第 14 页 共 39 页 公大楼进行布线。 规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。 因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。 机房的规划与设计 为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量 ，符合国家有关的机房设计规定。 (1)防静电 静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。 此外，还会影响操作人员和维护人员的正常的工作和身心健康。 (2)防火、防盗 计算机房在设计时，重点要考虑机房的消防灭火设计。 设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。 机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。 (3)防雷 由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑 防雷设计尤其重要。 计算机通信电缆的芯线，电话线均应加装避雷器。 (4)保湿、保温 机房里的湿度应保持在 20%80%为宜，机房的温度应保持在 15℃ 35℃ 摄氏度，安装空调来调节温度是解决此问题最好的办法。 布线系统的规划与设计 有了好的机房，网络设备就有了好的 “家 ”，组建的 IT 网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。 如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。 对于接入层来说，选择一个合理的接入设备，是最关键的，而 且我们要根据接入设备选择合适的带宽。 汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。 交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。 随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。 布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。 在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。 接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使 网络性能得到最大的提升。 汇聚层与交换层之间的双。